CISCO PIX防火墙系统管理.docx
- 文档编号:24349479
- 上传时间:2023-05-26
- 格式:DOCX
- 页数:38
- 大小:33.32KB
CISCO PIX防火墙系统管理.docx
《CISCO PIX防火墙系统管理.docx》由会员分享,可在线阅读,更多相关《CISCO PIX防火墙系统管理.docx(38页珍藏版)》请在冰豆网上搜索。
CISCOPIX防火墙系统管理
CISCOPIX防火墙系统管理
本文介绍了如何配置并使用PIX防火墙提供的工具及特性,以监控和配置系统,并监控网络活动。
它包括以下部分:
∙使用Telnet进行远程系统管理(UsingTelnetforRemoteSystemManagement)
∙IDS系统日志信息(IDSSyslogMessages)
∙使用DHCP(UsingDHCP)
∙使用SNMP(UsingSNMP)
∙使用SSH(UsingSSH)
一、使用Telnet进行远程系统管理(UsingTelnetforRemoteSystemManagement)
在内部和第三接口上可经由Telnet访问控制台。
第三接口是与PIX防火墙中第三个可用插槽相连的网络。
您可用shownameif命令浏览第三接口。
列表从上往下的第三项是第三接口。
串行控制台让单一用户配置PIX防火墙,但很多情况下这对有多位管理员的站点来说不太方便。
PIX防火墙允许您从任意内部接口上的主机经由Telnet访问串行控制台。
配置了IPSec后,您就可使用Telnet从外部接口远程管理PIX防火墙的控制台。
本部分包括以下内容:
∙ 配置Telnet控制台访问(ConfiguringTelnetConsoleAccess)
∙ 测试Telnet访问(TestingTelnetAccess)
∙ 保护外部接口上的Telnet连接(SecuringaTelnetConnectionontheOutsideInterface)
∙ TraceChannel特性(TraceChannelFeature)
(一)、配置Telnet控制台访问(ConfiguringTelnetConsoleAccess)
按照以下步骤来配置Telnet控制台访问:
步骤1
使用PIX防火墙telnet命令。
例如,如想让一台位于内部接口之上、
地址为192.168.1.2的主机访问PIX防火墙,就输入以下命令。
telnet192.168.1.2255.255.255.255inside
如果设置了IPSec,您即可让位于外部接口上的主机访问PIX防火墙
控制台。
具体信息请参见"保护外部接口上的Telnet连接(Securing
aTelnetConnectionontheOutsideInterface)"部分。
使用如
下命令。
telnet209.165.200.225225.255.225.224outside
步骤2
如需要,可对PIX防火墙在断开一个Telnet会话前,该会话可闲置的
时间长度进行设置。
默认值5分钟对大多数情况来说过短,需予以延
长直至完成所有生产前测试和纠错。
按下例所示设置较长的闲置时
间。
telnettimeout15;
步骤3
如果您想用认证服务器来保护到控制台的访问,您可使用aaa
authenticationtelnetconsole命令,它需要您在验证服务器上有
一个用户名和口令。
当您访问控制台时,PIX防火墙提示您提供这些
登录条件。
如果验证服务器离线,您仍可使用用户名pix和由enable
password命令设置的口令访问控制台。
步骤4
用writememory命令保存配置中的命令?
/td>
(二)、测试Telnet访问(TestingTelnetAccess)
执行以下步骤来测试Telnet访问:
步骤1
从主机启动一个到PIX防火墙接口IP地址的Telnet会话。
如果您正使用
Windows95或WindowsNT,点击Start>Run来启动Telnet会话。
例如,
如果内部接口IP地址是192.168.1.1,输入以下命令。
telnet192.168.1.1
步骤2
PIX防火墙提示您输入口令:
PIXpasswd:
输入cisco,然后按Enter键。
您即登录到PIX防火墙上了。
默认口令为cisco,您可用passwd命令来更改它。
您可在Telnet控制台上输入任意您可从串行控制台上设置的命令,但如果
您重启PIX防火墙,您将需在其重启动后登录PIX防火墙。
一些Telnet应用,如Windows95或WindowsNTTelnet会话可能不支持通过
箭头键使用的PIX防火墙命令历史记录特性。
然而,您可按Ctrl-P来获取最
近输入的命令。
步骤3
一旦您建立了Telnet访问,您可能想在纠错时浏览ping(探查)信息。
您可用debugicmptrace命令浏览来自Telnet会话的ping信息。
TraceChannel特性也对debug的显示有影响,这将在"TraceChannel特性(TraceChannelFeature)"中详述。
成功的ping信息如下:
OutboundICMPechorequest(len32id1seq512)209.165.201.2>209.165.201.1
InboundICMPechoreply(len32id1seq256)209.165.201.1>209.165.201.23
步骤4
此外,您可使用Telnet控制台会话来浏览系统日志信息:
a.用loggingmonitor7命令启动信息显示。
"7"将使所有系统日志级别均得以显示。
如果您正在生产模式下使用PIX防火墙,您可能希望使用loggingbuffered7命令唇畔⒋娲⒃谀捎胹howlogging命令浏览的缓存中,还可用clearlogging命令清理缓存以便更方便地浏览。
如想停止缓存信息,使用nologgingbuffered命令。
您也可将数目从7降至较小值,如3,以限制所显示的信息数。
b.如果您输入loggingmonitor命令,然后输入terminalmonitor命令来使信息在您的Telnet会话中显示。
如想禁止信息显示,使用terminalnomonitor命令。
例1给出了使用Telnet允许主机访问PIX防火墙控制台的命令。
例1使用Telnet
telnet10.1.1.11255.255.255.255
telnet192.168.3.0255.255.255.0
第一个telnet命令允许单一主机,10.1.1.11用Telnet访问PIX防火墙控制台。
网络掩模的最后八位字节中的数值255表明只有指定主机可访问该控制台。
第二个telnet命令允许192.168.3.0网络上的所有主机访问PIX防火墙控制台。
网络掩模的最后八位字节中的数值0允许那一网络中的所有主机进行访问。
然而,Telnet只允许16台主机同时访问PIX防火墙控制台。
(三)、保护外部接口上的Telnet连接(SecuringaTelnetConnectionontheOutsideInterface)
本部分讲述如何保护到PIX防火墙的外部接口的PIX防火墙控制台Telnet连接。
它包括以下内容:
∙ 概述(Overview)
∙ 使用CiscoSecureVPNClient(UsingCiscoSecureVPNClient)
∙ 使用CiscoVPN3000Client(UsingCiscoVPN3000Client)
概述(Overview)
如果您正使用CiscoSecurePolicyManager2.0或更高版本,本部分也适用于您。
本部分的前提是假定您正使用CiscoVPNClient3.0,CiscoSecureVPNClient1.1或CiscoVPN3000Client2.5来保护您的Telnet连接。
在下一部分的举例中,PIX防火墙的外部接口的IP地址是168.20.1.5,CiscoSecureVPNClient的IP地址来自于虚拟地址池,为10.1.2.0。
有关此命令的具体信息,请参见《CiscoPIX防火墙命令参考》中telnet命令页。
您将需在您的VPN客户机上设置两个安全策略。
一个用于保护您的Telnet连接,另一个保护您到内部网络的连接。
使用CiscoSecureVPNClient(UsingCiscoSecureVPNClient)
本部分仅适用于您使用CiscoSecureVPNClient的情况。
如想对您到PIX防火墙的外部接口的Telnet连接加密,则将以下步骤作为您PIX防火墙配置的一部分加以执行
步骤1
创建一个access-list命令语句,定义需从PIX防火墙到使用来自
本地虚拟地址池中目的地址的VPN客户机而进行保护的流量access
-list84permitiphost168.20.1.510.1.2.0255.255.255.0
步骤2
定义哪台主机可用Telnet访问PIX防火墙控制台:
telnet10.1.2.0255.255.255.0outside
从本地池和外部接口指定VPN客户机的地址。
步骤3
在VPN客户机中,创建一个安全策略,将远程方身份识别IP地址与网关IP地址定义为相同--PIX防火墙外部接口的IP地址。
在此例中,PIX防火墙的外部IP地址为168.20.1.5。
步骤4
配置VPN客户机上的其它安全策略,以与PIX防火墙的安全策略相配。
使用CiscoVPN3000Client(UsingCiscoVPN3000Client)
本部分仅适用于您使用CiscoVPN3000Client的情况。
如想对您到PIX防火墙的外部接口的Telnet连接加密,则将以下步骤作为您PIX防火墙配置的一部分加以执行。
在下例中,PIX防火墙外部接口的IP地址为168.20.1.5,CiscoVPN3000Client的IP地址来自于虚拟地址池,为10.1.2.0。
定义哪台主机可用Telnet访问PIX防火墙。
从本地池和外部接口指定VPN客户机的地址。
telnet10.1.2.0255.255.255.0outside
(四)、TraceChannel特性(TraceChannelFeature)
debugpacket命令将其输出送至TraceChannel。
其它所有debug命令则并非如此。
TraceChannel的使用改变了您在PIX防火墙控制台或Telnet会话期间浏览屏幕上输出结果的方式。
如果一个debug命令不使用TraceChannel,每个会话都独立运作,意味着任意从会话中启动的命令只出现在该会话中。
在默认状态下,不使用TraceChannel的会话的输出是禁用的。
TraceChannel的位置取决于您在控制台会话的同时还运行着一个同步Telnet控制台会话,还是您只使用PIX防火墙串行控制台:
o 如果您仅使用PIX防火墙串行控制台,所有debug命令都显示在串行控制台上。
o 如果您有一个串行控制台会话和一个Telnet控制台会话同时访问控制台,那么无论您在何处输入debug命令,输出均显示在Telnet控制台会话上。
o 如果您有2个或更多Telnet控制台会话,则第一个会话是TraceChannel。
如果那一会话关闭,那么串行控制台会话变成TraceChannel。
随后是访问控制台的下一Telnet控制台会话成为TraceChannel。
debug命令在所有Telnet和串行控制台会话间共享。
注意TraceChannel特性的缺点是,如果一位管理员正使用串行控制台,另一管理员启动一个Telnet控制台会话,则串行控制台上的debug命令输出会在毫无警告的情况下停止。
此外,Telnet控制台会话上的管理员将突然看到debug命令的输出,这可能是其不希望出现的局面。
如果您正使用串行控制台,且未出现debug命令的输出,使用who命令来查看是否有Telnet控制台会话正在运行。
二、IDS系统日志信息(IDSSyslogMessages)
IX防火墙经由系统日志列出了单分组(原子)Cisco入侵检测系统(IDS)签字信息。
所支持的信息列表请参见《CiscoPIX防火墙系统日志信息》。
此版本中所有签字信息不受PIX防火墙支持。
IDS系统日志信息均以%PIX-4-4000nn开始,有下列格式:
%PIX-4-4000nnIDS:
sig_numsig_msgfromip_addrtoip_addroninterfaceint_name
例如:
%PIX-4-400013IDS:
2003ICMPredirectfrom10.4.1.2to10.2.1.1oninterfacedmz
%PIX-4-400032IDS:
4051UDPSnorkattackfrom10.1.1.1.to192.168.1.1.oninterfaceoutside
选项:
sig_num签字号。
具体信息参见《Cisco安全入侵检测系统2.2.1用户指南》。
sig_msg签字信息——几乎与NetRanger签字信息相同。
Ip_addr签字适用的本地到远程地址。
Int_name签字最初发出的接口名。
您可用以下命令确定显示哪些信息:
ipauditsignaturesignature_numberdisable
将一项全局策略与一个签名相连。
用于禁用某一签名或不让某一签名进行审计。
noipauditsignaturesignature_number
从签名处删除策略。
用于重新使用某一签名。
showipauditsignature[signature_number]
显示禁用签名。
ipauditinfo[action[alarm][drop][reset]]
指定对于分类为信息签名的签名所采取的默认行动。
alarm选项表示,当发现某一分组中签名匹配,PIX防火墙就将事件报告给所有已配置的系统日志服务器。
drop选项丢弃不合格的分组。
reset选项丢弃不合格的分组,并且如果它是一条有效连接的一部分,则关闭该连接。
默认值为alarm。
如想取消事件响应,使用不带action选项的ipauditinfo命令。
noipauditinfo
设置针对分类为信息的签名而采取的行动,调查默认行动。
showipauditinfo
显示默认信息行动。
ipauditattack[action[alarm][drop][reset]]
指定对于攻击签名所应采取的默认行动。
action选项如前所定义。
noipauditattack
将针对攻击签名而采取的行为是默认行为。
showipauditattack
显示默认攻击行动。
审计策略(审计规则)定义了所有可应用于某一接口的签名的属性以及一系列行动。
使用审计策略,用户可限制审计的流量或指定签名匹配时采取的行动。
每个审计策略由一个名称识别,可针对信息或攻击签名进行定义。
每个接口可有2个策略,一个用于信息签名,另一个用于攻击签名。
如果定义的策略中无行动,则采取已配置的默认行动。
每个策略需要一个不同名称。
ipauditnameaudit_nameinfo[action[alarm][drop][reset]]
除被ipauditsignature命令禁用或排除的信息签名之外,所有信息签名均被认为是策略的一部分。
行动与前面描述的相同。
noipauditnameaudit_name[info]
删除审计策略audit_name。
ipauditnameaudit_nameattack[action[alarm][drop][reset]]
除被ipauditsignature命令禁用或排除的攻击签名之外,所有攻击签名均被认为是策略的一部分。
行动与前面描述的相同。
noipauditnameaudit_name[attack]
删除审计规定audit_name。
showipauditname[name[info|attack]]
显示所有审计策略或按名称和可能的类型显示特定策略。
ipauditinterfaceif_nameaudit_name
向某一接口应用审计规定或策略(经由ipauditname命令)。
noipauditinterface[if_name]
从某一接口删除一个策略。
showipauditinterface
显示接口配置。
三、使用DHCP(UsingDHCP)
PIX防火墙支持动态主机配置协议(DHCP)服务器和DHCP客户机。
DHCP是一个协议,向互联网主机提供自动配置参数。
此协议有两个组成部分:
∙用于从DHCP服务器向主机(DHCP客户机)提供主机特定配置参数的协议
∙用于向主机分配网络地址的机制
DHCP服务器是向DHCP客户机提供配置参数的计算机,DHCP客户机则是使用DHCP获得网络配置参数的计算机或网络设备。
在PIX防火墙中实施DHCP服务器和DHCP客户机特性的主要目的是大大简化PIX防火墙单元的配置。
本部分包括以下内容:
∙DHCP客户机(DHCPClient)
∙DHCP服务器(DHCPServer)
DHCP客户机(DHCPClient)
PIX防火墙中的DHCP客户机支持经过专门设计,适用于小型办公室、家庭办公室(SOHO)环境,这些环境中使用PIX防火墙直接与支持DHCP服务器功能的DSL或电缆调制解调器相连。
随着PIX防火墙上DHCP客户机特性的实施,PIX防火墙对DHCP服务器来说即可作为DHCP客户机,允许服务器用IP地址、子网掩模和可选的默认路由来配置单元的启动接口
不支持使用DHCP客户机特性从通用DHCP服务器获取IP地址的操作。
此外,PIX防火墙DHCP客户机不支持故障转换配置。
为支持PIX防火墙中的DHCP客户机特性,进行了以下改进:
∙增强了ipaddress和showipaddress命令:
-ipaddressif_namedhcp[setroute][retryretry_cnt]
-ipaddressoutsidedhcp[setroute][retryretry_cnt]
-showipaddressif_namedhcp
∙添加了新的debug命令:
-debugdhcpcpacket
-debugdhcpcdetail
-debugdhcpcerror
ipaddressdhcp命令可在指定PIX防火墙接口上启动DHCP客户机特性。
可选setroute参数让PIX防火墙使用DHCP服务器返回的默认网关参数来设置默认路由。
debugdhcpc命令为启动的DHCP客户机特性提供纠错工具。
用于实施DHCP客户机的PIX防火墙命令在《CiscoPIX防火墙命令参考》的ipaddress命令页和debug命令页中介绍。
具体信息请参见这些命令页。
注意DHCP所需的外部接口的IP地址也可用作PAT全局地址。
这样,ISP就无需向PIX防火墙分配静态IP地址了。
使用带interface关键字的global命令来使PAT使用DHCP所需的外部接口IP地址。
有关global命令的具体信息,请参见《CiscoPIX防火墙命令参考》中的global命令页。
启动DHCP客户机特性和设置默认路由(EnablingtheDHCPClientFeatureandSettingDefaultRoute)
为在给定PIX防火墙接口上启动DHCP客户机特性并经由DHCP服务器设置默认路由,需将ipaddressdhcpsetroute命令作为您整个PIX防火墙配置的一部分加以配置,这其中包括setroute选项。
指定将在其上启动DHCP客户机的接口名。
DHCP服务器(DHCPServer)
PIX防火墙中的DHCP服务器支持经过了专门设计,适用于使用PIX506的远程家庭或分支机构(ROBO)环境。
与PIX防火墙相连的是PC客户机和其它网络设备(DHCP客户机),它们建立了不安全(未加密)或安全(使用IPSec加密)的网络连接来访问企业或公司网络。
作为一个DHCP服务器,PIX防火墙通过使用DHCP向DHCP客户机提供了网络配置参数。
这些配置参数为DHCP客户机提供了用于访问企业网的网络参数,以及在网络中网络服务(如DNS服务器)使用的参数。
在5.3版软件发布前,PIX防火墙DHCP服务器支持10个DHCP客户机、PIX防火墙5.3及更高版本在PIX防火墙上支持32个DHCP客户机,在其它平台上支持256个。
在6.0或更高版本中,PIX防火墙DHCP服务器支持256个DHCP客户机。
您不能使用C类网络掩模为256个客户机配置1个DHCP服务器。
例如,如果一家公司有C类网络地址172.17.1.0,带网络掩模255.255.255.0,那么172.17.1.0(网络IP)和172.17.1.255(广播)不可能在DHCP地址池范围之内。
此外,一个地址用于PIX防火墙接口。
因此,如果用户使用C类网络掩模,就只能最多拥有253个DHCP客户机。
如想配置256个客户机,就不能使用C类网络掩模。
注意PIX防火墙DHCP服务器不支持BOOTP请求和故障转换配置。
用于实施DHCP服务器特性的PIX防火墙命令在《CiscoPIX防火墙命令参考》的dhcp命令页和debug命令页中介绍。
具体信息请参见这些命令页。
配置DHCP服务器特性(ConfiguringtheDHCPServerFeature)
确保在启动DHCP服务器特性前,使用ipaddress命令来配置IP地址和inside接口的子网掩模。
按照以下步骤来在给定PIX防火墙接口上启动DHCP服务器特性。
(步骤1到6为必需)。
步骤1
使用dhcpdaddress命令指定一个DHCP地址池。
PIX防火墙将向客户机分配此池中的地址之一并在给定长度的时间内使用。
默认值为inside接口。
例如:
dhcpaddress10.0.1.101-10.0.1.110inside
步骤2
(可选)指定客户机将使用的DNS服务器的IP地址。
您最多可指定2个DNS服务器。
例如:
dhcpddns209.165.201.2209.165.202.129
步骤3
(可选)指定客户机将使用的WINS服务器的IP地址。
您最多可指定2个WINS服务器。
例如:
dhcpdwins209.165.201.5
步骤4
指定授予客户机的租用时间长度。
这相当于客户机在租用到期前可使用分配给它的IP地址的时间长度(以秒为单位)。
默认值为3600秒。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- CISCO PIX防火墙系统管理 PIX 防火墙 系统管理